ref: https://medium.com/devopscurry/securing-your-ci-cd-pipelines-with-devsecops-in-2021-1a6a6e34f2e7

本篇文章作者想要探討的是如何透過 DevSecOps 的概念來強化你的 CI/CD 流程。

文章開頭探討了些關於 DevOps 文化以及對團隊帶來的改變，如何將 Dev, Ops 的工作流程給帶入到一個不同的領域，這部分想必大家都熟識了，所以這邊就不敘述太多。

接者作者開始思考，CI/CD 這種自動化的過程中，如果我們想要檢查資安與安全性相關，那到底有什麼樣的資訊市值得我們去檢查與研究的?

假設今天採用的是市面上 SaaS 服務的所提供的 Pipeline 平台，這些平台本身的資安問題並不是使用者可以去處理的，這方面只能仰賴這些服務提供商能夠有效且安全的去防護系統。因此作者認為我們應該要將注意力放在我們自行設計的 pipeline 過程中。

作者接者列舉了幾個議題，譬如

1. Source Code Vulnerabilities
這個議題要檢查的是軟體本身是否有相關的漏洞

2. OSS Library Vulnerabilities
所有使用到的 OSS Library 也都可能有漏洞需要注意，所以平常也要多注意 CVE 相關的資訊，有任何可以修復的機會時，團隊一定要評估是需要升級相關的 OSS

3. OSS Version
OSS 的社群也是會不停的開發與迭代，某些版本可能多年後就不被該社群團隊給維護，所以如果目前使用的 OSS 版本已經被標示為 deprecated，那意味就算有任何漏洞可能都不會有相關維護者去補修。因此團隊也要審慎評估是否要趕緊升級到一個有被維護的版本

4. Identifying Compromising Credentials
CI/CD 系統中不免都會有一些跟機密資訊有關的資料，這些資料是有可能當初處理時沒有被妥善管理，譬如不小心被 commit 到 source code 之類的，這部分的錯誤也都要避免。

檢查方面，作者提出不同的方式來檢查，譬如
1. Static Application System Testing(SAT)
程式編譯前的靜態掃描，該方法會嘗試分析程式碼本身是否有安全性漏洞，也是俗稱的白箱測試。

2. Active and Passive penetration t est (Dynamic Analysis)
3. Infrastructure Analysis
該方法包含了檢查環境中用到的設定檔案，伺服器狀態等，透過這些資訊來了解當前是否有什麼潛在的問題

最後，作者列舉出一些相關的工具，譬如
1. Checkmarx
2. IMMUNIO
3. Aqua Security
4. OWASP Zed Attack Proxy
5. Twistlock
6. CyberArk
7. WhiteSource
8. CHef InSpec
9. Fortify Webinspect

※題目：加密貨幣攻擊實例、安全性與哲學性探討

※時間：2018年9月13日（四）中午12點～13點

※來賓：前阿碼科技創辦人，目前是Xrex 創辦人兼執行長黃耀文（Wayne Huang）

※內容簡介：
區塊鏈結合虛擬貨幣的發展，已經是近一兩年來，最熱門的搜尋字眼，不僅是技術應用的熱門話題，更成為一種投資風潮。只不過，光是在今年，就曾經爆發多起虛擬貨幣交易所遭駭的事件，更讓人對於區塊鏈和虛擬貨幣的資安議題，更為重視。

在區塊鏈的資安議題中，51％的攻擊是最常被提到的攻擊手法？目前有許多重要的礦場，持有大量的虛擬貨幣，51％的攻擊會帶來什麼樣的後遺症呢？關於智能合約的應用，又有哪哪些漏洞和風險值得關注呢？其他像是電子錢包、交易所等，又面臨哪些風險呢？

黃耀文近期曾多次走訪美國和歐洲，除了受邀發表相關演講，也深入了解各國區塊鏈的應用，此次直播，除了會實際討論區塊鏈、加密貨幣交易所等遭受的攻擊實例外，對於區塊鏈技術帶來更深入的安全性議題以及哲學性探討，都會是主要討論的重點。

※來賓簡介：
黃耀文是臺大電機博士畢業，後來和弟弟黃耀明在2005年共同創辦阿碼科技，在2013年，獲得矽谷上市公司 Proofpoint（nasdaq: PFPT）併購；之後黃耀文擔任 Proofpoint 全球研發副總，於 2018 年六月離開 Proofpoint，與同事共同創辦 Xrex，為區塊鏈科技新創，專注於區塊鏈於金融科技與資本市場之應用。
黃耀文也是早期天使創投投資人，已投資多家臺灣新創公司；他也是國際知名資安專家，曾多次應邀 RSA、BlackHat、DEF CON、OWASP、SyScan、WWW、PHP 及 DSN 等全球知名科技年會發表演講，近年則常受邀區塊鏈與加密貨幣會議演講。

※題目：加密貨幣攻擊實例、安全性與哲學性探討

※時間：2018年9月13日（四）中午12點～13點

※來賓：前阿碼科技創辦人，目前是Xrex 創辦人兼執行長黃耀文（Wayne Huang）

※內容簡介：
區塊鏈結合虛擬貨幣的發展，已經是近一兩年來，最熱門的搜尋字眼，不僅是技術應用的熱門話題，更成為一種投資風潮。只不過，光是在今年，就曾經爆發多起虛擬貨幣交易所遭駭的事件，更讓人對於區塊鏈和虛擬貨幣的資安議題，更為重視。

在區塊鏈的資安議題中，51％的攻擊是最常被提到的攻擊手法？目前有許多重要的礦場，持有大量的虛擬貨幣，51％的攻擊會帶來什麼樣的後遺症呢？關於智能合約的應用，又有哪哪些漏洞和風險值得關注呢？其他像是電子錢包、交易所等，又面臨哪些風險呢？

黃耀文近期曾多次走訪美國和歐洲，除了受邀發表相關演講，也深入了解各國區塊鏈的應用，此次直播，除了會實際討論區塊鏈、加密貨幣交易所等遭受的攻擊實例外，對於區塊鏈技術帶來更深入的安全性議題以及哲學性探討，都會是主要討論的重點。

※來賓簡介：
黃耀文是臺大電機博士畢業，後來和弟弟黃耀明在2005年共同創辦阿碼科技，在2013年，獲得矽谷上市公司 Proofpoint（nasdaq: PFPT）併購；之後黃耀文擔任 Proofpoint 全球研發副總，於 2018 年六月離開 Proofpoint，與同事共同創辦 Xrex，為區塊鏈科技新創，專注於區塊鏈於金融科技與資本市場之應用。
黃耀文也是早期天使創投投資人，已投資多家臺灣新創公司；他也是國際知名資安專家，曾多次應邀 RSA、BlackHat、DEF CON、OWASP、SyScan、WWW、PHP 及 DSN 等全球知名科技年會發表演講，近年則常受邀區塊鏈與加密貨幣會議演講。